BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.Multi.Moridin

Sınıf Virus
Platform Multi
Açıklama

Teknik detaylar

Bu, Win32 sistemlerini enfekte eden çok platformlu bir virüstür. Virüs, Win32 çalıştırılabilir dosyalarına, MS Word belgelerine bulaşır ve e-posta yoluyla IRC kanalları aracılığıyla yayılır ve yerel ağa bulaşır. Virüs de Backdoor yeteneğine sahiptir.

Virüs yaklaşık 70K boyutunda ve gömülü birkaç diğer bileşen vardır: Win32 EXE "yardımcı" (ek uygulama), Word şablonu, Word makro bileşen kaynağı, yanı sıra çeşitli komut programları: VBS, mIRC, PIRCH ve vIRC . EXE virüs rutinleri Assembler'de yazılmıştır.

Virüs çeşitli şekillerde bulunabilir:

– bulaşmış PE EXE dosyası
– EXE yardımcı
– bulaşmış Word belgeleri
– VBS komut dosyası
– IRC sctiprs

Ağ ve IRC kanalları üzerinden e-posta yoluyla yayılırken, solucanlar kopyalarını şu şekilde yazar: CRACK.EXE, PACKED.EXE, SETUP.EXE, NETX.EXE ve INIT.EXE.

PE EXE Virüs Bileşeni – Etkilenen PE EXE Dosyaları

PE EXE dosyalarını bulaştırabilir

Bir PE EXE dosyasını enfekte ederken, virüs son dosya bölümünün boyutunu artırır, kendisini bir polimorfik rutin ile şifreler ve kendini buraya yazar. Polimorfik kod ortalama karmaşıklıktadır.

Virüs bulaşmış bir dosya çalıştırıldığında kontrol elde etmek için virüs, virüs bulaşmış bir dosya çalıştırıldığında kontrolü hemen bir polimorfik şifre çözme döngüsüne geçiren kısa bir yarı polimorfik kod ile dosya giriş kodunu yayar.

Enfekte Dosya Çalışması

Virüslü bir dosya çalıştırıldığında virüs polimorfik kodu kontrolü kazanır, ana virüs kodunu çözer ve kontrolü buraya aktarır. Virüs daha sonra Windows sistem dizininde dört dosya oluşturur:

ADVAPI33.EXE (not: "33" değil "32")
PACKED.EXE
MMSYSTEM.BIN
COMMDLG.VBS

İlk üç dosya aynı kodu içerir – 60K virüs yardımcısı (aşağıya bakınız) – bir PE EXE dosyasıdır ve tipik bir Windows uygulaması olarak çalıştırılır. Bu dosyalar, diğer virüs bileşenleri tarafından Word belgelerini enfekte etmek ve virüsün IRC kanalları ve e-posta yoluyla yayılması için kullanılır (aşağıya bakınız).

PACKED.EXE ve MMSYSTEM.BIN sonra virüs tarafından diğer EXE dosyaları enfekte (aynı şekilde) aynı şekilde enfekte edilir. Sonuç olarak, bu dosyaların boyutu 130K (yardımcı yardımcısı artı 70K tam virüs kodu) kadar yükseltilir ve yardımcı kodu burada çoğaltılır (yardımcı başka bir yardımcı gömülü olan bir virüs tarafından enfekte edilir) ).

COMMDLG.VBS dosyası, e-posta iletileri aracılığıyla Internet'te virüs yayılan VBScript içerir.

Sistem Kayıt Defteri Anahtarları

Virüs daha sonra sistem kayıt defteri anahtarlarını değiştirir. Aşağıdaki anahtarları oluşturur:

1. HKEY_CLASSES_ROOTexefileshellopencommand
default = "% SystemDir% MMSYSTEM.BIN"% 1% * "

2. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
mmsystem = COMMDLG.VBS

3. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionNetworkLanManASMODEUS $

Bayraklar = 0x392 (914)
Parm1enc = 7c d1 15
Parm2enc = 00
Yol = "C:"
Açıklama = ""
Türü = 0

ve aşağıdaki anahtarı siler:

4. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPolicies
NoDriveAutorun

aşağıdaki anahtarları değiştirir:

5. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork
DisablePwdCaching = 0

6. HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion WinDrop = "% SystemDir%"

% SystemDir%, Windows sistem dizininin adıdır.

"1", her EXE dosyası çalıştırıldığında sistemin virüs yardımcısını çalıştırmasına neden olur (aşağıya bakın). "2", Windows başlangıcında etkilenen e-postayı gönderen bir VBS bileşenini etkinleştirir. "3", bazı virüs kimlik damgası gibi görünüyor. "4", AUTORUN.INF dosyasının otomatik işlemesini sağlar. "5", bir arka kapı bileşeninin sistem parolalarını almasına izin verir (virüs kodu bunun için bir rutini içermez, ancak indirilebilir ve yüklenebilir, aşağıya bakın). "6", diğer virüs bileşenlerinin bulunduğu tam dizini bulmak için MS Word virüs bileşeni tarafından kullanılan başka bir virüs kimlik damgasıdır.

Virüs kendisini Windows sistem dizinine yüklemezse, dosyalarını Windows geçici dizinine indirir ve "3" hariç tümüyle aynı anahtarları oluşturur / değiştirir.

Enfeksiyon vb.

Virüs sonra beş EXE ve geçerli dizinde beş SRC dosyaları kadar enfekte eder. Virüs dosyaları bulmak için "GOAT * .EXE" ve "GOAT * .SCR" maskeleri kullanır, bu yüzden virüs bir "araştırma" olanıdır ve standart isimlerle dosyaları enfekte edemez. Ancak, bu virüs "özelliği" virüsün yazarı tarafından kolayca tespit edilebilir ve virüs herhangi bir adın PE EXE dosyalarını bulaştırır.

Bu virüs versiyonunun sadece GOAT * dosyalarını etkilediği gerçeğine rağmen, bir virüsten koruma adı için bir dosyayı kontrol eder ve enfeksiyonu atlar. Virüs, virüsten koruma programlarını ismin ilk dört karakterine göre algılar:

FSAV PAND INOC TBSC NAVS NAVD NAVX ADVA TARAMA NOD3 DRWE SPID AMON AVP3 AVPM

Virüs ayrıca WinZip kendiliğinden çıkarıcılara da bulaşmaz.

Virüs aşağıdaki virüsten koruma verilerini siler:

CHKLIST.MS CHKLIST.DAT CHKLIST.CPS CHKLIST.TAV AGUARD.DAT AVGQT.DAT
ANTI-VIR.DAT SMARTCHK.MS SMARTCHK.CPS IVP.NTZ AVP.CRC

Bu virüs bileşeni metinleri içerir:

– Asmodeus iKX tarafından [W97-2K / Win32.Moridin 1.0]
Tia mi aven Moridin vadin
"Mezar benim görüşüme göre bir bar değil"

Virüs yardımcısı çalıştırmak

Virüs yardımcısı herhangi bir EXE dosyası çalıştırıldığında etkinleştirilir (Sistem kayıt defteri anahtarı "1" den kaynaklanır), yukarıya bakın). Bir komut satırı olarak, yardımcı, yürütülmesi beklenen EXE dosya adını ve komut satırını alır. Yardımcı hem EXE dosya adı hem de komut satırı argümanlarına dikkat eder.

MIRC, PIRCH veya vIRC istemcisi herhangi biri yürütüldüğünde, virüs onları etkiler. Geçerli dizinde CRACK.EXE adıyla bir kopyasını oluşturur ve ilgili bir komut dosyası veya virüslü CRACK.EXE dosyasını kullanıcıya gönderen dosyalar oluşturur. Dosya, IRC kanalına girer (bir vIRC istemcisi durumunda) veya kanala "çatlak" kelimesi ile bir metin gönderir (mIRC, PIRCH).

Virüs tarafından oluşturulan komut dosyaları:

MIRC: SCRIPT.INI, SCRIPT.OLD
PIRC: EVENTS.INI
VIRC: DEFAULT.LIB

Bir kullanıcının REGEDIT.EXE dosyasını veya bir virüsten koruma programını çalıştırmayı denemesi durumunda, virüs yalnızca bu isteği sonlandırır. Bu dosya adlarının listesi şöyledir:

REGE *, AVP3 *, AVPM *, AVPC *, NOD3 *, AMON *, TARAMA *, SPID *, DRWE *

Üç "virüs dosyası" adlarından birine karşılık gelen bir dosya yürütüldüğünde: CRAC *, PACK *, MMSY * veya SETU * ismiyle bir dosya, virüs dosyayı sonlandırır ve sahte hata mesajı görüntüler:

WinZip Kendinden Çıkarıcı
WinZip Self-Extractor başlık bozuk.
Olası neden: bozuk disk veya dosya aktarımı hatası

Örnekte, komut satırı .DOC dosyasına bir başvuru içerir, virüs PACKED.EXE dosyasını dosyanın sonuna ekler. Bu ekleme daha sonra virüsü etkilenen Word belgelerinden yaymak için kullanılacaktır.

Virüs yardımcıları ayrıca MS Word ortamına geçmek için iki dosya daha bırakır:

MS Word şablonları dizini NORMAL.DOT
Windows sistem dizinine IMPMORI.DRV

NORMAL.DOT şablonu, IMPMORI.DRV dosyasından tüm virüs makrolarını alan bir virüs "yükleyicisi" içerir.

Virüs yardımcıları ayrıca sistem kayıt defterindeki makro virüs korumasını devre dışı bırakır, ayrıca virüsten korunma belleği yerleşik programları arar ve bunları sonlandırır:

AVP Monitörü
Amon Antivirüs Monitörü
Norton AntiVirus Otomatik Deneme Sürümünü Koru
Norton AntiVirus Otomatik Koruma

HTML sayfaları da virüs tarafından etkilenir. Geçerli dizinde bir .HTM dosyasının bulunduğu durumda, virüs kendisini SETUP.EXE adıyla kopyalar ve HTM dosyasına "İndir" bağlantısını ekler. Bu bağlantıya tıkladığınızda standart bir "Dosya İndirme" penceresi elde edilir.

Rastgele sayaca bağlı olarak, virüs yardımcısı da "W32Moridin" ses etiketini geçerli sürücüye ayarlar.

Bir Ağı Enfekte Etme

Virüs yardımcı özelliği, tam erişim için paylaşılan sürücüler varsa, yerel ağ üzerinden virüs yaydığı için tamamlanmadı. Virüs yardımcısı onları sayıyor ve onları iki şekilde etkilemeye çalışıyor.

1. Virüs kendisini burada NETX.EXE adı ile kopyalar ve AUTOX.EXE dosyasında bir virüs kopyasını etkinleştiren bir komutla otomatik çalıştırılan dosyayı AUTORUN.INF oluşturur.

2. Virüs, sürücüdeki Windows dizinini arar. "Windows" benzeri bir ada sahip bir dizin varsa, virüs burada INIT.EXE adıyla kopyalanır ve bu kopyayı otomatik çalıştırma bölümünde WIN.INI dosyasında kaydeder.

Uzak Makinelerin Enfekte Edilmesi

Intranet enfeksiyonuna ek olarak, virüs aynı zamanda uzak makineleri bir şekilde daha fazla etkilemeye çalışır. Virüs, aşağıda listelenen İnternet uygulamalarından birinin çalışıp çalışmadığını kontrol eder:

GetRight Monitor
Microsoft Outlook
ICQMsgAPI Penceresi
WWW Bağlantıları
PIRCH98
Prizler pencere

Bu durumda, virüs, ana bilgisayarın IP adresini (virüslü bilgisayarın bağlı olduğu makineye) alır ve sonra NetBus arka kapı varlığı için ana bilgisayar alt ağını (genellikle C sınıfı alt ağı) tarar. NetBus tarafından virüs bulaşmış bir makine varsa, virüs burada kopyasını gönderir ve NetBus'u çalıştırmaya zorlar.

Backdoor Rutin

Virüs yardımcısı, uygulanan dört komutla kendi Backdoor rutinine de sahiptir:

– CD kapısını açar ve kapatır
– bir dosya indirir ve geliştirir
– kendini sonlandırır (arka kapı rutini)
– Bir mesaj görüntüler, mesaj kutusu başlığı aşağıdaki metni içerir:

[W97-2K / Win32.Moridin 1.0] Asmodeus iKX tarafından

Enfekte E-posta

Virüs, kendisini yaymak için iki posta sistemi kullanır: MS Outlook ve Pegasus. İlk yöntem VBS virüs bileşeninde gerçekleştirilir, ikincisi ise MS Word virüs makro programında gerçekleştirilir.

MS Outlook

E-posta iletilerinden kendisini yaymak için, virüs COMMDLG.VBS dosyası MS Outlook'a bağlanır, Adres Defterindeki tüm adresleri alır ve iletiye ekli olan kopyasını (PACKED.EXE dosyası) gönderir. Mesaj rastgele seçilmiş bir Konu, Gövde ve İmzaya sahiptir:

Konu: "Virüs UYARI!"
Gövde: "VBS-solucan e-postaya yayılıyor, kendini koru!
FREE-SEX.VBS adlı eki açmayın "

Konu: "Utopia / Earth 2025 dersleri"
Gövde: "Herkese merhaba, bu oyunu kontrol et! Www.games.esite.com.
Mesaja birkaç ders ekleniyor "

Konu: "Nasıl göründüğüm :)"
Gövde: "İşte bazı resimlerim, beğendin mi? :)"

İmza aşağıdaki varyantlardan seçilir:

Saygılarımızla,
İçtenlikle,
İyi günler,

Bilgisayar sahibinin adı ve kuruluş adıyla tamamlanır. Virüs bu verileri sistem kayıt defterinden alır.

Virüs 'VBS dosyası her Windows yeniden başlatıldığında çalıştırılır. Yinelenen gönderimleri önlemek için virüs, kayıt defteri anahtarını oluşturur:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionIkx
Moridin 1.0

ve bu anahtar zaten kayıt defterinde mevcutsa e-posta yayma yordamından çıkar.

Pegasus

Virüs bulaşan MS Word belgesindeki makro bileşen, sistemde yüklü olan Pegasus posta istemcisini arar. Virüs, Pegasus veritabanından bir adres seçer ve burada aktif bir doküman gönderir. Mesaj aşağıdaki metinlerden birine sahiptir:

Şuna bak!

BAAAAAAAM! Bir ek tarafından vuruldun, bu ek savaş! Birini vur, ŞİMDİ!

MS Word'ü Infecting

Virüs, MS Word'ün NORMAL.DOT dosyasından çalıştırılmasını etkiler (yukarıya bakın). Burada kısa bir makro programı, Windows sistem dizinindeki IMPMORI.DRV dosyasındaki ana virüs makrosunu alır ve bunu NORMAL.DOT'a aktarır.

Ana virüs makrosu üç rutini içerir: Pegasus kullanarak e-posta yoluyla bir virüs kopyası göndermek (yukarıya bakın); diğer MS Word belgelerini enfekte etmek; belgeden bir PE EXE bileşenini ayıklamak ve oluşturmak.

MS Word belgeleri, Word tarafından açıldığında bulaşır. Virüs sadece kodunu buraya kopyalar ve komut satırında ADVAPI33.EXE dosyasını dosya adıyla birlikte yazar ve bu da EXE virüs kodunun belgenin sonuna eklenmesini sağlar.

Word belgesinden EXE kodunu ayıklamak için, virüs makrosu ikili dosya olarak belgeyi açar, dosyanın sonuna gider, virüs EXE bileşenini okur, Windows'a W32MORI.EXE adıyla bir disk dosyasına kaydeder. dizin ve bu dosyayı yürütür. Bu nedenle, EXE virüs bileşeni virüslü Word belgesindeki denetimi kazanır.


Orijinaline link